A Autoridade Australiana de Regulação Prudencial (APRA) publicou recentemente descobertas de um estudo examinar o nível de resiliência da cibersegurança das suas entidades regulamentadas, que revelou um número alarmante de lacunas de segurança. Neste blog vamos dar uma olhada no aspectos de proteção de identidade destas lacunas e discutir como as equipas de identidade e segurança podem avaliar a sua postura de segurança de identidade no contexto das conclusões da APRA e, posteriormente, tomar medidas para abordar a sua própria resiliência às ameaças de identidade. Cada lacuna detectada pela APRA é complementada com seu Proteção de identidade implicação e seguido por uma questão de avaliação interna.
Além disso, apresentamos Silverfort'S Proteção de identidade unificada plataforma, mostrando como pode permitir que entidades regulamentadas pela APRA resolvam o elemento de proteção de identidade destas lacunas para garantir que mantêm o mais alto nível de resiliência às ameaças de identidade.
Lacuna nº 1: Identificação e Classificação de Ativos de Informação – Identificação de Todas as Contas de Usuário
Pergunta de avaliação de proteção de identidade: Eu tenho identificou todos interno e externo contas de usuário que têm acesso a recursos de informação críticos?
Por que isso Importa?
No contexto da proteção de identidade, as contas de usuário são o superfície de ataque isso deve ser guardado. Porque se os adversários conseguirem comprometer essas credenciais, eles poderão acessar facilmente os recursos e causar grandes danos. Assim, a tarefa mais fundamental é garantir que cada conta de usuário seja conhecida e monitorada. Isso inclui usuários padrão e administrativos, mas também máquina a máquina contas de serviço bem como quaisquer contatores terceirizados que tenham acesso ao ambiente da entidade.
Lacuna nº 2: Controles de segurança da informação de terceiros - Implementação de autenticação segura
Pergunta de avaliação da proteção de identidade: Tenho uma autenticação forte e segura para prestadores de serviços terceirizados que têm acesso aos meus recursos internos?
Por que isso Importa?
Os adversários têm como alvo as cadeias de abastecimento de terceiros porque assumem (com razão) que este é o elo mais fraco na pilha de proteção de uma organização. O aspecto da proteção de identidade aqui está relacionado à capacidade da organização de impor autenticação segura em seu ecossistema de cadeia de suprimentos e garantir que ela possa validar que o usuário que solicita acesso é de fato o próprio contratante e não um adversário que conseguiu comprometer as credenciais do contratante.
Lacuna nº 3: Programas de testes de controle, incluindo movimento lateral nas avaliações da equipe vermelha
Pergunta de avaliação de proteção de identidade: Tenho programas de teste de resiliência em meu ambiente (ou seja, Red Team) que incluem o uso de credenciais comprometidas para acessar recursos?
Por que isso Importa?
Durante um ataque cibernético, a fase em que um adversário começa a se mover lateralmente no ambiente é o fator X que transforma um evento local em um incidente no nível da organização. Se o objetivo do ataque for ransomware, então a diferença é ser capaz de criptografar várias máquinas em vez de apenas uma. Se for roubo de dados, movimento lateral é onde o invasor consegue passar da máquina “paciente zero” até um recurso direcionado onde residem dados confidenciais. Isso torna a incorporação desta parte do teste de resiliência extremamente importante.
Lacuna nº 4: Planos de resposta a incidentes – Visão abrangente das trilhas de autenticação do usuário
Pergunta de avaliação de proteção de identidade: Minha pilha de visibilidade forense inclui a capacidade de visualizar e analisar facilmente todas as autenticações e tentativas de acesso de todos os usuários para poder rastrear o caminho de um adversário em meu ambiente?
Por que isso Importa?
A parte central de um processo de resposta é ser capaz de rastrear o caminho completo dos ataques, desde o acesso inicial até as ações direcionadas, para que cada instância de atividade e presença maliciosa possa ser identificada e removida. Do lado da identidade desta investigação, está a capacidade de ver o movimento das contas de usuários entre máquinas, identificar o ponto exato onde elas foram comprometidas e detectar as técnicas maliciosas envolvidas no ataque. Isto não pode ser alcançado a menos que haja um hub central onde todas as autenticações e tentativas de acesso sejam agregadas.
Lacuna nº 5: Avaliações de auditoria interna dos controles de segurança da informação – Cobertura real fornecida pela MFA e PAM
Pergunta de avaliação da proteção de identidade: As minhas auditorias de segurança interna envolvem a verificação do âmbito das medidas de proteção de identidade (por exemplo, MFA, PAM, autenticação baseada em risco, etc.) incluindo cobertura e uso real?
Por que isso Importa?
No final das contas, os controles de segurança implementados fazem a diferença entre uma tentativa de ataque fracassada e uma violação bem-sucedida. Além disso, não basta apenas ter soluções de segurança implementadas, mas também garantir o seu nível de cobertura e utilização correta. Por exemplo, a MFA aplicada aos administradores deixa expostos apenas os usuários regulares do domínio. Além disso, a AMF que, em teoria, se aplica a todos os utilizadores, mas não é totalmente utilizada devido a objecções da força de trabalho, revela uma lacuna semelhante. Além disso, a proteção MFA no acesso RDP sem cobertura semelhante para acesso por linha de comando também não é suficiente. Os controlos de proteção de identidade só podem alcançar proteção em tempo real se forem implementados de forma abrangente e cobrirem toda a força de trabalho e todos os recursos.
Lacuna nº 6: Notificação de incidentes materiais e deficiências de controle – Detecção de ameaças à identidade
Pergunta de avaliação da proteção de identidade: Posso identificar e avaliar facilmente pontos fracos e incidentes de proteção de identidade em meus ambientes?
Por que isso Importa?
Detecção de um ativo ataque baseado em identidade pode ser um desafio complicado. Ao contrário do malware, que deixa artefatos forenses distintos em endpoints comprometidos, as ameaças de identidade são apenas uma sequência de autenticações. Além disso, determinar que uma conta foi comprometida significa uma redefinição imediata ou mesmo a desativação dessa conta, tornando o falso positivo uma grande preocupação.
O método da Silverfort Plataforma: Proteção em Tempo Real Contra Ameaças à Identidade
Silverfort foi pioneira na primeira plataforma de proteção de identidade unificada desenvolvida especificamente para estender MFA para qualquer usuário e recurso, automatizar a descoberta, o monitoramento e a proteção de contas de serviçoe prevenir proativamente movimento lateral e propagação de ransomware ataques.
Silverfort se conecta a todos dOMain ccontroladores e outros locais identidade pprovedores (IdPs) no ambiente para monitoramento contínuo, análise de risco e aplicação de políticas de acesso. em cada tentativa de autenticação e acesso feita por usuários, administradores ou contas de serviço a qualquer usuário, sistema e ambiente.
Resolva todas as lacunas detectadas pela APRA com Silverfort
No contexto das lacunas detectadas pela APRA, Silverfort permite que as equipes de identidade e segurança abordem todos eles. SilverfortA integração do com todos os IdPs no ambiente fornece 100% de visibilidade em todas as autenticações de usuários e tentativas de acesso. Sua arquitetura sem agente facilita a aplicação de MFA no acesso de terceiros e sua MFA pode abranger todos os recursos e métodos de acesso (incluindo aplicativos legados e acesso de linha de comando), bem como conta privilegiada proteção — fornecendo a mais alta resiliência contra o uso malicioso de credenciais comprometidas. SilverfortO mecanismo de risco do é desenvolvido especificamente para detectar ameaças de identidade, desde força bruta até Pass-the-Hash e outras técnicas, e seus logs de autenticação detalhados fornecem informações claras sobre tentativas de autenticação e acesso de todos os usuários.
Quer aumentar a sua resiliência às ameaças de identidade e alinhar-se com as melhores práticas da APRA? Programar uma chamada com um de nossos especialistas.